QNAP NAS での自己暗号化ドライブ (SED) の使い方

最終更新日: 2023-12-26

このチュートリアルでは、自己暗号化ドライブ (SED) についてご紹介し、QNAP NAS でそれを利用し、管理する方法をご説明します。

該当製品	詳細
ハードウェア	すべての QNAP NAS モデル TL シリーズ JBOD エンクロージャー
オペレーティングシステム	QTS QuTS hero

注意

QTS および QuTS hero は、ハードウェア RAID を装備したドライブアダプター (QDA-A2AR や QDA-A2MAR) にインストールされたドライブでは SED 機能をサポートしません。

自己暗号化ドライブ (SED)
SED を使う理由
SED タイプ
SED ストレージの作成
- SED セキュアストレージプールの作成
- SED セキュア静的ボリュームの作成
SED 管理
SED ステータス
用語集

自己暗号化ドライブ (SED)

自己暗号化ドライブ (SED) は、ドライブコントローラーに組み込まれた暗号化ハードウェアをもつドライブです。SED は、すべてのデータをそれがドライブに書き込まれる時に自動的に暗号化し、ドライブから読み出される時に復号化します。SED に保存されたデータは、常にデータ暗号化キーによって完全に暗号化され、ドライブのハードウェアに保存されるため、ホストオペレーティングシステムや不正ユーザーはアクセスできません。暗号化キー自体も、SED をロック、ロック解除することが可能なユーザー指定の暗号化のパスワードによって暗号化できます。

暗号化と復号化はドライブによって扱われるため、SED 上のデータへのアクセスにはホストデバイスの CPU リソースは必要ありません。SED が物理的に盗まれたり紛失した場合は、SED 上のデータもアクセスできなくなります。そのため、SED は機密情報の保管のために広く採用されています。

SED は、QTS および QuTS hero 内での SED セキュアストレージプールや、QTS 内の SED セキュア静的ボリュームの作成に使用できます。SED は、通常のストレージプールやボリュームの作成にも使用できますが、SED の自己暗号化機能は無効になります。

SED を使う理由

データストレージセキュリティは多くの企業や組織にとって非常に重要な事項です。クレジットカード情報や身分証明書番号などの個人データや、製品の青写真や知的財産などの企業秘密を保存している場合は、特にその重要性が高まります。

データ漏えいが発生すると、企業や組織は深刻な結果に直面します。機密情報が危険にさらされることがないとしても、データ漏えいはお客様やクライアントに被害を与え、売上の減少や法律上の罰則を受けるなどのことが起こり得ます。

SED はハードウェアベースの完全ディスク暗号化を行うため、暗号化と復号化の処理はディスクハードウェア内で行われます。ホストオペレーティングシステムからのこの分離により、ハードウェア暗号化はソフトウェアによる暗号化よりも安全性が高くなります。さらに、ソフトウェア暗号化と違って、ハードウェア暗号化は余計な CPU リソースを必要としません。SED が物理的に盗難あるいは紛失した場合は、SED から理解可能な情報を得ることは不可能です。

このため、SED は、政府機関の調達プロセス、医療機関、金融サービスでの必須のデータセキュリティに指定されることもあります。

SED タイプ

QNAP は、Trusted Computing Group (TCG) が規定する業界標準に沿ってSED タイプを分類します。サポートされている SED タイプは、次の表示記載されています。

インストールされている SED の SED タイプをチェックするには、［ストレージ＆スナップショット］ > ［ストレージ］ > ［ディスク/VJBOD］ > ［ディスク］に進み、SED をひとつクリックします。

SED タイプ	サポート済
TCG Opal	Yes
TCG Enterprise	Yes、QTS 5.0.1 (またはそれ以降) および QuTS hero h5.0.1 (またはそれ以降)

SED ストレージの作成

SED は、QTS および QuTS hero 内での SED セキュアストレージプールや、QTS 内の SED セキュア静的ボリュームの作成に使用できます。

重要

標準のプールや標準の静的ボリュームを作成した後は、SED セキュリティを有効にすることはできません。まず始めに、SED セキュアストレージプールまたは SED セキュア静的ボリュームを作成する必要があります。

SED セキュアストレージプールの作成

［ストレージ＆スナップショット］を開きます。
SED ディスクが初期化されていないことを確認します。
1. ［ストレージ］> ［ディスク/VJBOD］に進みします。
2. SED ディスクを選択します。
3. ［SED ステータス］ が［未初期化］であることを確認します。
4. 上記の手順を各 SED ディスクに対して繰り返します。
SED セキュアストレージプールを作成します。
注意
このトピックは、SED セキュアストレージプールを作成するために必要な最小限の手順を説明するものです。
完全な手順と設定の詳細を知るには、次のいずれかのユーザーガイドの「SED セキュアストレージプールを作成する」を参照してください。
- QTS ユーザーガイド
- QuTS hero ユーザーガイド
1. ［ストレージ］ > ［ストレージ/スナップショット］に進みます。
2. ［作成］ > ［新規ストレージプール］をクリックします。
  ストレージプールの作成ウィザードが表示されます。
3. ［次へ］をクリックします。
4. 任意：拡張ユニット 1 つを［エンクロージャーユニット］リストから選びます。
5. ［SED セキュアストレージプールを作成する］を選択します。
6. 1 つあるいは複数の SED ディスクを選択します。
7. RAID タイプを選択します。
8. ［次へ］をクリックします。
9. 暗号化パスワードを指定します。
10. ［次へ］をクリックします。
11. ［作成］をクリックします。
  システムが SED セキュアストレージプールを作成します。

SED セキュア静的ボリュームの作成

［ストレージ＆スナップショット］を開きます。
SED ディスクが初期化されていないことを確認します。
1. ［ストレージ］> ［ディスク/VJBOD］>［ディスク］に進みます。
2. SED ディスクを選択します。
3. ［SED ステータス］ が［未初期化］であることを確認します。
4. 上記の手順を各 SED ディスクに対して繰り返します。
SED セキュア静的ボリュームを作成します。
注意
このトピックは、SED セキュアストレージボリュームを作成するために必要な最小限の手順を説明するものです。
完全な手順と設定の詳細を知るには、QTS ユーザーガイドの「SED セキュアストレージボリュームを作成する」を参照してください。
1. ［ストレージ］ > ［ストレージ/スナップショット］に進みます。
2. ［作成］ > ［新規ボリューム］をクリックします。
  ボリュームの作成ウィザードが表示されます。
3. ［静的ボリューム］を選択します。
4. ［次へ］をクリックします。
5. 任意：拡張ユニット 1 つを［エンクロージャーユニット］リストから選びます。
6. ［SED セキュア静的ボリュームを作成する］を選択します。
7. 1 つあるいは複数の SED ディスクを選択します。
8. RAID タイプを選択します。
9. ［次へ］をクリックします。
10. 暗号化パスワードを指定します。
11. ［次へ］をクリックします。
12. ［終了］をクリックします。
  システムが SED セキュア静的ボリュームを作成します。

SED 管理

SED ストレージプールと静的ボリュームのアクション

次のアクションを実行するには、［ストレージ＆スナップショット］ > ［ストレージ］ > ［ストレージ/スナップショット］に進み、SED プールまたはボリュームを選択し、［管理］をクリックした後、［アクション］ > ［SED 設定］を選択します。

アクション	説明
SED プールパスワードの変更 SED ボリュームパスワードの変更	暗号化パスワードを変更します。警告パスワードは忘れないようにしてください。パスワードを忘れた場合、プールまたはボリュームにアクセスできなくなり、すべてのデータが回復不能になります。［起動時に自動ロック解除］を有効にすることもできます。この設定により、NAS が起動した場合にいつも、ユーザーに暗号化パスワードの入力を求めることなく、システムが SED プールまたはボリュームを自動的にロック解除し、マウントするようになります。警告この設定を有効化することにより、不正な人物が NAS に物理的にアクセスできた場合には不正なデータアクセスが行われてしまう結果となります。ヒント QTS および QuTS hero の以前のバージョンの中には、起動時に自動ロック解除が暗号化キーを保存とされているものがあります。
ロック	プールまたはボリュームをロックします。すべてのボリュームと共有フォルダー、LUN、スナップショット、プールまたはボリューム内のデータは、ロックが解除されるまでアクセス不能になります。
ロック解除	ロックされている SED プールまたはボリュームをロック解除します。すべてのボリュームと共有フォルダー、LUN、スナップショット、プールまたはボリューム内のデータはアクセス可能になります。
SED セキュリティを無効にする	暗号化パスワードを削除し、プールまたはボリュームのロック、ロック解除ができないようにします。
SED セキュリティを有効にする	暗号パスワードを追加し、プールまたはボリュームのロック、ロック解除ができるようにします。

ロックされている SED ストレージプールまたは静的ボリュームの削除

［ストレージ＆スナップショット］>［ストレージ］>［ストレージ/スナップショット］に進みます。
ロックされている SED ストレージプールまたは静的ボリュームを選択します。
注意
静的ボリュームは、QTS でのみ利用可能です。
［管理］をクリックしてから、［削除］をクリックします。
削除ウィザードウィンドウが開きます。

除去オプションを選択してください。

オプション	説明
SED プールのロックを解除して、プール、データ、保存キーを削除する	このオプションは、ストレージプールまたは静的ボリューム内の SED ディスクをロック解除し、全データを削除します。ストレージプールまたは静的ボリュームが、システムから削除されます。暗号化パスワードを入力する必要があります。
ロックを解除せずにプールを削除する	このオプションは、ディスクのロック解除を行わずにストレージプールまたは静的ボリュームを除去します。SED ディスクは、次のいずれかのアクションを実施するまでは使用できなくなります。そのディスクのロックを解除します。［ディスク/VJBOD］に進み、［復元］をクリックしてから、［ストレージプールのマウントと復元］を選択します。 SED 消去を用いてディスクを消去します。

オプション

説明

SED プールのロックを解除して、プール、データ、保存キーを削除する

このオプションは、ストレージプールまたは静的ボリューム内の SED ディスクをロック解除し、全データを削除します。ストレージプールまたは静的ボリュームが、システムから削除されます。
暗号化パスワードを入力する必要があります。

ロックを解除せずにプールを削除する

このオプションは、ディスクのロック解除を行わずにストレージプールまたは静的ボリュームを除去します。SED ディスクは、次のいずれかのアクションを実施するまでは使用できなくなります。

そのディスクのロックを解除します。［ディスク/VJBOD］に進み、［復元］をクリックしてから、［ストレージプールのマウントと復元］を選択します。
SED 消去を用いてディスクを消去します。

［適用］をクリックします。

システムが、ロックされている SED ストレージプールまたは静的ボリュームを除去します。

SED セキュアストレージプールから新しい NAS への移行

ストレージプールを新しい NAS に移行する場合は、次の要件を満たす必要があります。

2台の NAS デバイスは、両方とも QTS または両方とも QuTS hero が動作していなければなりません。QTS と QuTS hero 間の移行はできません。
新しい NAS で動作している QTS または QuTS hero のバージョンは、元の NAS で動作しているバージョンと同じかそれよりも新しくなければなりません。

元の NAS で、［ストレージ＆スナップショット］ > ［ストレージ］ > ［ストレージ/スナップショット］に進みます。
SED セキュアストレージプールを選択します。
［管理］をクリックします。
ストレージプール管理ウィンドウが開きます。
［アクション］をクリックした後、［プールを安全に取り外す］を選択します。
確認メッセージが表示されます。
［Yes］をクリックします。
ストレージプールステータスが［安全に取り外し中...］に変わります。
システムがプールの取り外しを完了した後、プールは［ストレージ＆スナップショット］から消えます。
ストレージプールを含むドライブを NAS から削除します。
ドライブを新しい NAS にインストールします。
新しい NAS で、 ［ストレージ＆スナップショット］ > ［ストレージ］ > ［ディスク/VJBOD］に進みます。
［回復］をクリックし、［ストレージプールのマウントと復元］を選択します。
確認メッセージが表示されます。
暗号化パスワードを入力して下さい。
暗号化が有効になっている自己暗号化ドライブ (SED) を使用している場合は、このパスワードの入力が必要です。
［マウント］をクリックします。
システムがディスクをスキャンし、ストレージプールを検出します。
［適用］をクリックします。
新しい NAS の［ストレージ＆スナップショット］にストレージプールが現れます。

SED 消去を用いたディスクの消去

SED 消去はロックされた、あるいはロック解除された SED ディスク上の全ディスクを消去し、暗号化パスワードを削除します。

SED 消去を実施するためには、ディスクがシステムによって使用されておらず、どんな目的にも割り当てられていない (たとえば、ストレージプール内になりことや、スペアディスクとして設定されていない) 必要があります。SED 消去を実施する前に、ディスクがフリーであることを確認します。

［ストレージ＆スナップショット］>［ストレージ］>［ディスク/VJBOD］>［ディスク］に進みます。
SED ディスクを選択します。
［アクション］をクリックし、［SED 消去］を選択します。
注意
この機能は、ディスクの利用タイプステータスが「フリー」である時のみ利用できます。このステータスをチェックするには、［ストレージ＆スナップショット］>［ストレージ］>［ディスク/VJBOD］>［ディスク］進み、表の中のディスクを特定し、「利用タイプ」カラムの下を見ます。詳細については、QTSユーザーガイドまたはQuTS heroユーザーガイドの「ディスクステータス」をご覧ください。
SED 消去ウィンドウが開きます。
ディスクの Physical Security ID (PSID) を入力します。
ヒント
PSID は通常、ディスクラベルに記載されています。

PSID が見つからない場合は、ディスクの製造メーカーにお問い合わせください。
［適用］をクリックします。
システムが SED 上の全データを消去します。

SED ステータス

SED のステータスを見るには、［ストレージ＆スナップショット］ > ［ストレージ］ > ［ディスク/VJBOD］>［ディスク］に進み、インストールされた SED をクリックします。

SED ステータス	説明
未初期化	SED は初期化されていません。ドライブの暗号化はアクティブになっていません。
ロック解除済	SED は初期化され、ロック解除されています。ドライブの暗号化はアクティブになっています。SED のデータは暗号化され、アクセス可能です。
ロック中	SED は初期化されておらず、ロックされています。ドライブの暗号化はアクティブになっています。SED のデータは暗号化され、アクセス不能です。
ブロック済み	セキュリティの都合上、SED はブロックされています。ドライブは初期化できません。注意 SED をロック解除するには、ディスクを再度差し込むかまたは、［SED 消去］を用いてディスクを消去してください。詳細は、SED 消去を使用したディスクの消去をご覧ください。

用語集

用語	定義
起動時に自動ロック解除	これを設定すると、NAS の再起動後、システムは SED セキュアストレージプールまたは SED セキュア静的ボリュームを自動的にロック解除します
暗号化キー	データを暗号化するためにドライブに書き込まれた自己暗号化ドライブ (SED) 内ハードウェアの中に物理的に保存された、一意にランダム化された暗号文字列で、データの復号時にドライブから読み出されます
暗号化パスワード	SED セキュアストレージプールまたは SED セキュア静的ボリュームのロックおよびロック解除のための、ユーザーが定義したパスワード
PSID (物理的セキュリティ ID)	ドライブを工場出荷時にリセットするための、通常は自己暗号化ドライブ (SED) にラベルされている一意のキー
SED 消去	自己暗号化ドライブ (SED) 上の全データを消去し、暗号化パスワードを削除するためのストレージ＆スナップショット機能

この記事は役に立ちましたか？

はい。いいえ。

66% の人が、これは役に立つと思っています。

この記事の改善箇所をお知らせください。

記事に、重要な情報が欠けている
記事のソリューションでは解決できない
記事の内容が複雑すぎる
記事には誤った情報が含まれている
記事の情報は最新ではない

その他のフィードバックがある場合は、以下に入力してください。

Storage (ストレージ)

ネットワーキング

拡張アクセサリ

監視

NAS